Avrupa Birliği Parlamentosu ve Konseyi, Uzun Beklenen Siber Güvenlik Düzenlemesi olan Siber Dayanıklılık Yasası (CRA) konusunda anlaşmaya vardı ve bu yeni kurallar, açık kaynak yazılımları muaf tutan kurallarla birlikte son onay ve benimseme sürecine girmiştir.
CRA, Eylül 2022’de Avrupa Komisyonu tarafından önerilmiş olup, AB Komisyonu’nun ifadesiyle bebek monitörlerinden yönlendiricilere kadar tüm donanım ve yazılım ürünleri için zorunlu siber güvenlik gereksinimleri getirmektedir.
Parlamento ve Konsey tarafından kabul edilmesinden 20 gün sonra yürürlüğe girecek olan CRA, donanım ve yazılım üreticilerinin bazı korkutucu hedeflere ulaşmasını şart koşacaktır. Kurallar arasında, aktif olarak sömürülen herhangi bir yeni güvenlik açığı için 24 saatlik bir açıklama süresi, beş yıl süresince güvenlik yaması desteği, tüm güvenlik özelliklerinin detaylı belgelenmesi ve daha fazlası bulunmaktadır.
Üreticiler, ithalatçılar ve distribütörler, gereksinimleri benimsemek için 36 ay süreyle veya dünya genelinde toplam yıllık cirosunun yüzde 2.5’i veya 15 milyon avroya kadar olan cezalarla karşılaşacaklardır.
Daha iyi güvenlik her ne kadar olumlu olsa da, CRA’nın açık kaynak yazılımlar üzerinde oluşturabileceği potansiyel etki konusunda endişeler dile getirilmiştir, çünkü genellikle daha büyük ürünler için sık sık önemli olmasına rağmen, genellikle birkaç kişi tarafından sürdürülen açık kaynak yazılımları vardır. Açık kaynak bakımını yürüten kişilerin yama, belgeleme ve açıklama için kısa süreli son tarihleri karşılamaları zor olabilir.
CRA üzerindeki endişeler en son Ekim ayında dile getirilmişti; bu tarihte Komisyon’un, Eylem’i tamamlarken açık kaynak topluluğunu büyük ölçüde görmezden geldiği açıktı.
Neyse ki, CRA’ın en son sürümü bu endişelere yanıt vermeye görünüyor.
“CRA’nın inovasyonu veya araştırmayı engellememesi, ticari bir faaliyetin kapsamı dışında geliştirilen veya tedarik edilen özgür ve açık kaynak yazılımının bu düzenleme kapsamına alınmaması gerekmektedir,” CRA’nın önerilen versiyonu okunuyor.
CRA anlaşmasıyla ilgili olarak Avrupa Parlamentosu’nun öncü üyesi Nicola Danti, “İnovasyonu veya araştırmayı engellememek, mikro ve küçük işletmelere destek sağlamak, paydaşların daha iyi katılımını sağlamak ve açık kaynak topluluğunun endişelerini ele almak için çalıştık,” dedi. “Sadece birlikte, önümüzdeki yıllarda bizi bekleyen siber güvenlik acil durumuyla başarıyla başa çıkabileceğiz.”
Kritik Güvenlik Açıkları: Sadece İki Dipnot
Bugünün kritik güvenlik açıkları listesinin kısalığı, kritik güvenlik açıkları önünde yoğun bir hafta geçirilmediği anlamına gelmiyor, tam aksine.
OpenZFS’de bildirilen veri yok eden bir hata, Google’ın Chrome’da altı güvenlik açığını düzeltmesi – bunlardan biri etkin sömürü altında olan bir açık içeriyor – ve Apple’ın WebKit için acil bir yama yayınlaması, iPhone’lar, iPad’ler ve Mac’lerde zaten saldırı altında olan iki açık için.
Bu hafta birkaç diğer konu ise pek çok başlık almadı:
CVSS 9.8 – Birden Fazla CVE: Delta Electronics’ın InfraSuite Device Master izleme yazılımı, bir saldırganın düz metin kimlik bilgilerini elde etmesine ve keyfi kod yürütmesine izin verebilecek bir dizi açıklama içeriyor. CVSS 9.1 – Birden Fazla CVE: Pek çok PTC endüstriyel ağ ürünü, yığına dayalı tampon taşması açığına ve sertifikaları doğrulama konusunda hatalı olan bir dizi açıklamaya sahiptir; bu da bir saldırganın kimlik doğrulamaya ihtiyaç duymadan cihazları çökertmesine ve veri çalmasına olanak tanıyabilir.
